Como posso ativar a criptografia do Time Machine na linha de comando?

13

É possível ativar a criptografia para um disco de destino do Time Machine com um script ou usando a linha de comando?

Um disco criptografado do Time Machine é realmente o mesmo que um disco normal, criptografado em disco completo usando o FileVault?

Gostaria de automatizar o quanto for conveniente ao instalar um Mac para um novo usuário. Isso inclui backups. Estamos usando o OS X Mountain Lion.

Descobertas adicionais:

  • Você pode solicitar que um destino seja criptografado na GUI de preferências do Time Machine. Isso não faz com que seja exibido como tal usando o fdesetupcomando No entanto, ele será listado como criptografado usandodiskutil cs list
  • Ao criptografar uma unidade pela primeira vez, o Time Machine prefere a GUI para "Criptografar backups" para essa entrada. Isso suportaria o método sugerido abaixo por Rene (exceto que ele sugere fazê-lo em uma imagem criptografada colocada em um disco).
llaurén
fonte
Não construí uma cadeia de ferramentas completa, mas fdesetupé a ferramenta para criptografar um volume e, uma vez feito isso, tmutil setdestinationpermitiria definir uma unidade montada como o destino da máquina do tempo.
Bmike
Você também deve ser capaz de escolher um sparsebundle com tmutil inheritbackup [machine_directory | sparsebundle]que você tenha criado com antecedência - talvez criptografado comhdiutil -encryption [AES-128|AES-256]
Rene Larsen
@bmike - Para descobrir se o File Vault é realmente o mesmo que a criptografia do Time Machine, criptografei meu disco de destino do Time Machine usando a GUI. Enquanto sudo diskutil cs listmostra que o volume agora está criptografado, sudo fdesetup statusdiz-me que o FileVault está desativado.
llaurén 1/10/2013
1
Lembre-se: cofre de arquivos significa um sistema operacional inicializável com chaves organizadas para que uma ou mais contas de usuário possam descriptografar a imagem no momento da inicialização para executar o sistema, enquanto o Time Machine apenas usa o mesmo contêiner criptografado básico e camada de armazenamento principal, sem considerar as contas de usuário ou todo o processo de inicialização. O Time Machine só precisa montar o volume quando o sistema já estiver inicializado.
bmike
Lamento não ter uma resposta para você, mas há algumas discussões neste tópico sobre como fazer backup de uma máquina do tempo e criptografá-la. discussões.apple.com
thread/4520699

Respostas:

3

Não, desculpe garota, eu acredito que você está incorreto.

Um disco criptografado do Time Machine é realmente o mesmo que um disco normal, criptografado em disco completo usando o FileVault?

Sim. Isto é. Estamos falando do "FileVault 2", também conhecido como CoreStorage, o novo gerenciador de volume lógico da Apple. Isso é diferente das tecnologias anteriores da TM e do FileVault, que são baseadas em imagens de disco de pacote esparso criptografadas pelo AES (que ainda são usadas para backups de rede, etc.). O processo iniciado nas Preferências do Sistema (atualmente) quando você ativa a criptografia de disco (seja em um disco externo, para o Time Machine ou na unidade de inicialização do FileVault), desde que o disco seja adequado, ele faz uma conversão on-line de um arquivo tradicional. Tabela de partição GPT para um único armazenamento de dados monolítico, com uma partição muito pequena para o firmware do CS. Volumes lógicos (em grupos de volumes lógicos) são esculpidos a partir disso e esses volumes (de software) são formatados e criptografados em HFS.

Acredito que o método mais direto para fazer isso seria:

  • Anexe o disco que você vai usar, limpe-o. Espaço livre ou uma única partição HFS +.
  • diskutil cs create/convert (não foi / foi formatado; não é importante) para inicializar e adicionar um novo LVG
  • diskutil cs createVolume, crie um único LV. Você pode ativar a criptografia neste momento, com diskutil cs encryptVolume, se você souber a senha que usará; Caso contrário, deixe-o sem criptografia por enquanto.
  • diskutil partitionDisk diskX - veja abaixo - os volumes CS aparecem como se fossem discos completamente autônomos e separados, portanto, você particiona o disco.

Em seguida: monte e desbloqueie o volume na máquina do seu novo usuário. Depois que o disco é desbloqueado, não deve haver nenhum problema para adotá-lo para uso lá. Se você quiser colocá-lo em um script de configuração, eu acredito que é apenas algo como tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Esta é a parte que tenho menos certeza, mas também tenho certeza de que é facilmente factível. Eu não fiz isso pelo Time Machine por si só, mas pré-criptografo discos para o FileVault assim o tempo todo, e o sistema operacional sabe o que fazer se depois disso.

Um disco habilitado para CS adequadamente adequado aparecerá assim em diskutil (embora você possa não ter a terceira partição no disco0 se souber que não será uma unidade de inicialização:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

O disk0 nunca aparecerá como criptografado, já que é disso que o gerenciador de volume basicamente precisa 'inicializar'. O disk1 será criptografado e exigirá a senha para montar.

Geoff Nixon
fonte
1

Vou arriscar uma resposta.

O backup do Time Machine criptografado não é o mesmo que o FileVault; na verdade, é o mesmo que selecionar "Mac OS estendido ([diferencia maiúsculas de minúsculas], registrado em diário, criptografado)" no Utilitário de Disco.

Portanto, para automatizá-lo com uma unidade externa, supondo que seja "disk1", ​​acho que o seguinte deve funcionar (desculpe, não há uma unidade USB sobressalente para testar):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
chikpee
fonte
Vou precisar verificar isso quando voltar ao trabalho. O OSX não foi muito amigável em me dizer que os backups são de fato criptografados.
llaurén
Os backups de máquina do tempo criptografados baseados em rede também devem ser bastante semelhantes, exceto criar um novo pacote de imagens de disco em vez de particionar o disco.
drfrogsplat
<já que ainda não tenho pontos suficientes para comentar no @G. Resposta de Nix> Tanto um disco de inicialização com o FileVault 2 ativado E um disco de backup criptografado do Time Machine são volumes lógicos do Core Storage ... mas acho que o FileVault 2 refere-se especificamente ao recurso de criptografia de disco completo em que, em vez de o usuário selecionar a senha de criptografia , a chave de recuperação aleatória é gerada e apenas as contas de usuário aprovadas podem acessá-la no logon e descriptografar o restante do disco.
chikpee